DB2数据库安全(二)——身份认证

  1. 云栖社区>
  2. 博客>
  3. 正文

DB2数据库安全(二)——身份认证

水墨胭脂 2017-04-14 14:34:47 浏览2666
展开阅读全文

根据《循序渐进DB2》(牛新庄)第13章内容整理

身份认证(authentication)

1.什么时候进行身份认证

  DB2身份认证 控制数据库安全性策略的以下方面:

  • 谁有权访问实例或数据库
  • 在哪里以及如何校验用户的 密码

  在发出attach和connect命令时,它借助于底层操作系统的安全特性实现对DB2用户的身份认证。attach命令用来连接实例。connect命令用来连接实例中的数据库。
  下面的示例展示了DB2对发出这些命令的用户进行身份验证的不同方式,这些示例在数据库管理程序配置文件中使用默认的身份认证类型SERVER。最后一个示例说明了如何使用DB2修改服务器操作系统上的密码。

  用创建DB2实例时的用户ID登录到安装DB2的机器上。发出以下命令:

[db2inst1@db22 ~]$ db2 connect to sample

   Database Connection Information

 Database server        = DB2/LINUXX8664 11.1.1.1
 SQL authorization ID   = DB2INST1
 Local database alias   = SAMPLE

这里,虽然没有显示的提供用户名和密码,但是隐式地执行了身份认证。使用登录机器的用户ID,并假设这个ID和密码已经经过了操作系统的检验。
显示的命令为:

db2 connect to sample user db2inst1 using  password dbpwd

2.DB2身份认证类型

2.1 客户机、服务器

2.2 身份认证类型

  DB2能够根据用户是试图连接数据库,还是执行实例连接和实例级操作,指定不同的身份认证机制。在默认情况下,实例对于所有实例级和连接级请求使用一种身份认证类型,这由数据库管理配置参数AUTHENTICATION来指定。DB2 V9.1中引入了数据库管理程序配置参数SRVCON_AUTH。这个参数专门处理对数据库的连接。例如,如果在DBM CFG中进行以下设置:

    DB2 GET DBM CFG
    Server Connection Authencation (SRVCON_AUTH) = KERBEROS
    Database manager authentication (AUTHENTICATION) = SERVER_ENCRYPT
那么在连接实例时会使用SERVER_ENCRYPT。但是在连接数据库时会使用KERBEROS身份认证。如果服务器是没有正确的初始化KERBEROS,但是提供了有效的用户ID/口令,那么运行这个用户连接实例,但是不允许他连接数据库。身份认证类型确定在何处验证用户ID/口令对。所支持的主要身份验证类型有:
  • SERVER
  • SERVER_ENCRYPT
  • KERBEROS
  • KRB_SERVER_ENCRYPT
  • CLIENT

身份认证是在服务器和客户机处同时设置的。
服务器
  每个实例仅允许一种类型的身份认证,也就是说,设置适用于该实例下定义的所有数据库。在数据库管理器配置文件中使用AUTHENTICATION参数指定该设置。

db2 update database manager congiguration authentication auth_type

客户机
  在客户机上编目的各数据库拥有自己的身份认证类型,使用catalog database 命令指定。

db2 update database db_name  at node node_name authentication auth_type

1)使用SERVER选项进行行身份认证

  使用SERVER选项时,用户ID和口令将发送到服务器进行校验。考虑以下示例:
(1)用户使用用户名peter和口令peterpwd登录到工作站
(2)peter随后使用用户ID db2user和口令db2pwd连接到SAMPLE数据库,这是在远程DB2服务器上定义的。
(3)db2userdb2pwd在DB2服务器上被校验。
  若您想避免用户ID和口令在网络上被窃听,可使用SERVER_ENCRYPT身份认证类型,这样用户ID和口令就都会被加密.

2)使用Kerberos进行身份验证

  是一种外部安全性协议,它使用通用密码术创建共享的加密密钥。Kerberos安全协议作为第三方用户身份认证服务执行身份认证,它使用传统的密码术创建一个共享的密钥。这个密钥成为用户的凭证,在请求本地或网络服务时在所有情况下都使用它检验用户身份。Kereros提供了安全的身份认证机制,这是因为用户ID和口令不再需要以明文形式通过网络传输。通过使用Kerberos安全协议,可以实现对远程DB2数据库服务器的单点登录。
alt
如上所述,Kerberos身份认证在DB2中是使用插件架构实现的。默认的Kerberos插件的源代码在samples/security/plugins目录中,称为IBMkrb5.c。在DB2中使用Kerberos之前,必须在客户机和服务器上同时启用和支持Kerberos。为此,必须满足以下条件:

  • 客户机和服务器必须属于同一个域(用windows术语来说,是可信域)
  • 必须设置适当的主体(Kerberos中的用户ID)
  • 必须创建服务器的keytab文件,实例所有者必须能够读这个文件
  • 所有机器必须有同步的时钟
      DB2客户机和服务器均支持Kerberos安全协议时,即可使用Kerberos身份认证类型。某些客户机可能并不支持Kerberos,但依然需要访问DB2服务器。为确保所有类型的客户机都能安全的连接,将DB2服务器的身份认证类型设置为KRB_SERVER_ENCRYPT.这允许所有启用了Kerberos的客户机使用Kerberos进行身份验证,而其他客户机使用SERVER_ENCRYPT身份牙周,如下图所示:
客户机设置 服务器设置 客户机/服务器解决方案
kerberos KRB_SERVER_ENCRYPT KERBEROS
Any other setting KRB_SERVER_ENCRYPT KRB_SERVER_ENCRYPT

设置Kerberos身份认证
   为了在DB2中启用Kerberos身份认证,必须先告诉客户机在哪里寻找将使用的Kerberos插件,在客户机上,运行以下命令:

db2 update dbm cfg using CLNT_KRB_PLUGIN IBMkrb5

  在上面的示例中,使用默认的Kerberos插件。如果使用的Kerberos需要实现特殊功能,DBA可以通过修改这个插件来执行特殊功能。
  还可以告诉客户机它正在针对哪个服务器主体进行身份认证。这个选项可以避免Kerberos身份认证的第一步,即客户机寻找他要连接的实例所在的服务器主体。在客户机上对数据库进行编目时可以指定AUTHENTICATION参数。它的格式是:

DB2 CATALOG DB dbname AT NODE N1 AUTHENTIVATION KERBEROS TARGET PRINCIPAL service/host@REALM

3在客户机上进行身份认证

网友评论

登录后评论
0/500
评论
水墨胭脂
+ 关注